Declaração GDPR
Data de vigência: 29 de junho de 2026 · Última atualização: 30 de junho de 2026
Zeptun Intelligence Limited (Hong Kong SAR) ("nós," "nosso" ou "nossa") opera a plataforma de e-mail Unbox em unbox.im e está comprometida em proteger dados pessoais de acordo com o Regulamento Geral de Proteção de Dados (GDPR) da UE e leis similares. Esta página resume como lidamos com dados para clientes na Área Econômica Europeia (EEA), Reino Unido e Suíça. Ela complementa nossa Política de Privacidade e nossos Termos de Serviço.
Quem somos
Zeptun Intelligence Limited (Hong Kong SAR) é o controlador de dados para dados pessoais processados através do Unbox em unbox.im. Para consultas sobre proteção de dados, entre em contato pelo privacy@unbox.im.
O que o Unbox é (e não é)
O Unbox é uma plataforma de e-mail transacional e caixa de entrada de domínio. Ajudamos você a enviar e gerenciar e-mails importantes — códigos de verificação, redefinições de senha, atualizações de pedidos e notificações de equipe nos seus próprios domínios.
Nós não fornecemos marketing ou envio de newsletters. Nossas rotas de envio via HTTP API e SMTP são limitadas apenas a e-mails transacionais. Essa escolha de produto reduz a complexidade de consentimento de marketing do GDPR: não enviamos campanhas promocionais em seu nome e não exigimos fluxos de aceitação ou cancelamento de marketing para e-mails da plataforma.
API de saída e SMTP — apenas transacionais
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
Exemplos permitidos
- Verificação de conta, redefinição de senha e alertas de segurança
- Confirmações de pedido, recibos, atualizações de envio e avisos de pagamento
- Notificações acionadas por um evento específico de usuário ou sistema
- Mensagens de equipe e espaço de trabalho (convites, atribuições, alertas internos)
Exemplos proibidos
- Newsletters, campanhas promocionais ou marketing em massa
- Abordagem a frio ou envio para listas compradas, raspadas ou sem consentimento
- Spam de afiliados, phishing ou conteúdo enganoso
- Qualquer tentativa de contornar limites de destinatários, taxas ou cotas do plano
Limites de taxa e destinatários (política)
Para evitar marketing em massa de fato, permitindo notificações normais da equipe, o tráfego de API e SMTP de saída está sujeito aos limites abaixo, além das cotas do plano. Os limites são aplicados automaticamente e valem por espaço de trabalho (proprietário e membros da equipe compartilham um pool diário de destinatários únicos, redefinido à meia-noite UTC):
- Destinatários por mensagem: Até 50 no total (Para + Cc + Cco combinados)
- Destinatários únicos por dia: Até 1.000 por espaço de trabalho
- Taxa de solicitação de envio: Até 10 envios por API ou SMTP por minuto por domínio
- Cota de saída do plano: Os limites mensais de envio da sua assinatura ainda se aplicam
Estas regras fazem parte da nossa Política de Uso Aceitável. A aplicação automatizada está ativa no compositor web, na API HTTP e no envio SMTP. Contas que enviem e-mails de marketing ou em massa, ou que abusem da infraestrutura de envio, podem ser limitadas, suspensas ou encerradas.
Monitoramos sinais de entregabilidade. Taxas de rejeição sustentadas acima de 3% ou taxas de reclamação acima de 0,1% podem acionar uma pausa temporária de envio ou revisão manual.
Essas regras também estão descritas em nossos Termos de Serviço.
Bases legais para o processamento
- Contrato — para fornecer hospedagem, DNS, caixa de entrada, envio de API, faturamento e suporte que você contratou.
- Interesses legítimos — segurança, prevenção de abuso, monitoramento de entregabilidade e melhoria do produto, equilibrados com seus direitos.
- Consentimento — quando necessário, como recursos opcionais de IA que enviam conteúdo a provedores de modelos em nuvem, ou conexão de contas de e-mail de terceiros.
- Obrigação legal — impostos, faturamento e solicitações legais de autoridades.
O que já fazemos
- Registro verificado — novas contas devem confirmar o e-mail (código único ou link mágico) antes de fazer login.
- Criptografia — TLS para dados em trânsito; credenciais e tokens sensíveis criptografados em repouso; chaves de API armazenadas com hash.
- Minimização de dados — logs de entrega de saída armazenam apenas metadados (sem corpos de mensagens). Visualizações de contas externas expiram após sete dias. Os logs de entrega são eliminados em um cronograma de retenção curto (padrão de 14 dias).
- Retenção controlada pelo usuário — lixeira, quarentena de spam e fluxos de exclusão permanente; você escolhe por quanto tempo os e-mails excluídos são mantidos antes da eliminação.
- Autenticação DNS — orientamos você na configuração de SPF, DKIM e DMARC e bloqueamos o envio até que seu domínio seja verificado.
- Responsabilidade do operador — as ações da equipe da plataforma em nosso console de administração são registradas em auditoria; alterações de associação da equipe são registradas no feed de atividades do seu espaço de trabalho.
- Nenhuma venda de dados pessoais — não vendemos suas informações para anunciantes ou corretores de dados.
Subprocessadores
Utilizamos parceiros de infraestrutura confiáveis para operar o Unbox. Eles processam dados apenas sob nossas instruções e salvaguardas contratuais:
- Vercel — hospedagem de aplicações web e funções serverless
- Neon — banco de dados PostgreSQL
- Upstash — Redis (filas e limitação de taxa)
- Vercel Blob — armazenamento de anexos e blobs de mensagens
- Amazon Web Services (SES) — entrega de e-mail de entrada e saída
- Stripe — faturamento de assinaturas e faturas
- OpenRouter — inferência de IA em nuvem quando você usa recursos de IA que exigem modelos remotos
Uma lista atualizada é mantida em nossa Política de Privacidade. Clientes empresariais que precisam de um Acordo de Processamento de Dados (DPA) assinado podem solicitar um pelo privacy@unbox.im.
Transferências internacionais
Unbox é operado principalmente a partir de Cingapura, com infraestrutura na AWS ap-southeast-1 e locais globais de borda usados por nossos provedores de hospedagem. Quando dados pessoais são transferidos para fora do EEE, contamos com salvaguardas apropriadas, como Cláusulas Contratuais Padrão e DPAs de fornecedores. Estamos planejando opções de armazenamento na região da UE para clientes que exigem residência de dados na UE.
Seus direitos sob o GDPR
Se o GDPR se aplica a você, você pode ter o direito de:
- Acessar os dados pessoais que mantemos sobre você
- Corrigir dados imprecisos
- Exportar seus dados em formato portátil
- Excluir seus dados ("direito ao esquecimento")
- Restringir ou se opor a certos processamentos
- Retirar o consentimento quando o processamento for baseado em consentimento
- Apresentar uma reclamação à sua autoridade supervisora local
Como exercer seus direitos hoje: envie um e-mail para privacy@unbox.im a partir do seu endereço registrado. Respondemos dentro de um mês. A exportação por autoatendimento e a exclusão da conta nas Configurações estão em nosso roteiro — veja abaixo.
IA e seu e-mail
Quando você usa recursos de IA, o conteúdo relevante da mensagem pode ser enviado a provedores de IA para resumo, classificação ou redação. Minimizamos o que é enviado e não usamos seu e-mail para treinar modelos públicos. Clientes empresariais poderão restringir o processamento de IA na nuvem nas configurações da conta; até que essa opção seja implementada, entre em contato conosco para optar por não participar da inferência na nuvem.
Segurança e violações
Mantemos medidas técnicas e organizacionais, incluindo controles de acesso, criptografia, suporte a MFA/chave de acesso e procedimentos de resposta a incidentes. Se uma violação de dados pessoais representar risco aos seus direitos, notificaremos os usuários afetados e os reguladores conforme exigido por lei.
Melhorias planejadas
Estamos trabalhando ativamente para fortalecer a preparação para o GDPR, incluindo:
- Exportação de dados por autoatendimento e exclusão de conta nas Configurações
- Registros de consentimento armazenados no registro com rastreamento de versão da política
- Limites de envio de saída que impedem abusos de marketing em massa, permitindo notificações normais da equipe (veja acima)
- Transparência expandida de subprocessadores e modelos de DPA para clientes
- Residência de dados opcional na UE
Contato
Consultas de proteção de dados: privacy@unbox.im
Suporte geral: hello@unbox.im